Ssh
具有組授權的 SSH jumpbox
我正在嘗試設置 SSH Jumpbox。登錄 Jumpbox 的使用者需要能夠根據他們的組授權到另一個 SSH 伺服器。
(UserA 在 Project1 組,UserB 在 Project2 組,UserA 應該能夠 ssh 到 project1.com,但不能進入 UserB)
有沒有辦法在 Jumpbox 級別上實現這一點?
假設 jumpbox 是一個 linux 盒子,
iptables
可以在OUTPUT
鏈上有用地限制哪些組成員可以連接到哪些伺服器。就像是iptables -A OUTPUT --gid-owner project1 -p tcp --dport 22 -d ip.of.project1.com -j ACCEPT iptables -A OUTPUT --gid-owner project1 -j REJECT iptables -A OUTPUT --gid-owner project2 -p tcp --dport 22 -d ip.of.project2.com -j ACCEPT iptables -A OUTPUT --gid-owner project2 -j REJECT
它有一個方便的副作用,即限制 project1 組的成員除了ssh’ing 到 project1.com 之外的任何事情,對於 project2 和 project2.com 也是如此。如果您限制流量,您可能還需要
INPUT
鏈中的一些相應規則。INPUT